getKeyInfo - AWS CloudHSM
ユーザーのタイプ構文引数 関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

getKeyInfo

key_mgmt_util の getKeyInfo コマンドは、キーを使用できるユーザーの HSM ユーザー ID を返します。これには、所有者およびキーを共有する暗号ユーザー (CU) も含まれます。キーに対するクォーラム認証が有効になっている場合、getKeyInfo はキーを使用する暗号化オペレーションを承認する必要があるユーザーの数も返します。getKeyInfo は、所有および共有しているキーに対してのみ実行できます。

パブリックキーに対して getKeyInfo を実行すると、HSM のすべてのユーザーがパブリックキーを使用できる場合でも、getKeyInfo はキー所有者のみを返します。HSM のユーザーの HSM ユーザー ID を確認するには、listUsers を使用します。特定のユーザーのキーを見つけるには、key_mgmt_util の findKey -u を使用します。Crypto Officer は cloudhsm_mgmt_util findAllKeysで を使用できます。

ユーザーは、自分で作成したキーを所有します。自分で作成したキーは、他のユーザーと共有できます。既存のキーを共有または共有解除するには、cloudhsm_mgmt_util の shareKey を使用します。

CMU コマンドを実行する前に CMU を起動し、HSM にログインする必要があります。ログインに使用するユーザータイプで、使用するコマンドを実行できることを確認してください。

HSM を追加または削除する場合は、CMU の設定ファイルを更新します。さもないと、クラスター内のすべての HSM で変更が有効にならない場合があります。

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

  • Crypto User (CU)

構文

getKeyInfo -k <key-handle> [<output file>]

以下の例では、getKeyInfo を使用してキーのユーザーに関する情報を取得する方法を示します。

例 : 非対称キーのユーザーを取得する

次のコマンドでは、キーハンドルが 262162 の AES (非対称) キーを使用できるユーザーを取得します。出力は、キーの所有者がユーザー 3 であり、キーをユーザー 4 および 6 と共有していることを示しています。

ユーザー 3、4、および 6 のみが、キー 262162 に対して getKeyInfo を実行できます。

aws-cloudhsm>getKeyInfo 262162
Key Info on server 0(10.0.0.1):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 2 user(s):

                 4
                 6
Key Info on server 1(10.0.0.2):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 2 user(s):

                 4
                 6
例 : 対称キーペアのユーザーを取得する

以下のコマンドでは、getKeyInfo を使用して ECC (対称) キーペアのキーを使用できるユーザーを取得します。パブリックキーのキーハンドルは 262179 です。プライベートキーのキーハンドルは 262177 です。

プライベートキー (262177) に対して getKeyInfo を実行すると、キー所有者 (3) とキーを共有している Crypto User (CU) 4 が返されます。

aws-cloudhsm>getKeyInfo -k 262177
Key Info on server 0(10.0.0.1):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
Key Info on server 1(10.0.0.2):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4

パブリックキー (262179) に対して getKeyInfo を実行すると、キー所有者であるユーザー 3 のみが返されます。

aws-cloudhsm>getKeyInfo -k 262179
Key Info on server 0(10.0.3.10):

        Token/Flash Key,

        Owned by user 3

Key Info on server 1(10.0.3.6):

        Token/Flash Key,

        Owned by user 3

ユーザー 4 がパブリックキー (および HSM のすべての公開キー) を使用できることを確認するには、key_mgmt_util の findKey-u パラメータを使用します。

出力は、ユーザー 4 がキーペアのパブリックキー (262179) とプライベートキー (262177) の両方を使用できることを示しています。ユーザー 4 は、他のすべてのパブリックキーと、自分で作成したプライベートキーまたは共有しているプライベートキーを使用することもできます。

Command:  findKey -u 4

Total number of keys present 8

 number of keys matched from start index 0::7
11, 12, 262159, 262161, 262162, 19, 20, 21, 262177, 262179

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
例 : キーのクォーラム認証値 (m_value) を取得する

次の例では、キューの m_value を取得する方法を示します。m_value は、キーを使用する暗号化オペレーションとキーを共有/共有解除するオペレーションを承認するクォーラム内のユーザーの数です。

キーに対してクォーラム認証を有効にすると、ユーザーのクォーラムは、そのキーを使用する暗号化オペレーションを承認する必要があります。クォーラム認証を有効にしてクォーラムサイズを設定するには、キーの作成時に -m_value パラメータを使用します。

このコマンドは、 genSymKeyを使用して、ユーザー 4 と共有される 256 ビット AES キーを作成します。また、m_value パラメータを使用してクォーラム認証を有効にし、クォーラムサイズを 2 ユーザーに設定します。ユーザー数は必要な承認を提供できるだけの大きさが必要です。

出力は、このコマンドでキー 10 が作成されたことを示しています。

 Command:  genSymKey -t 31 -s 32 -l aes256m2 -u 4 -m_value 2

        Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

        Symmetric Key Created.  Key Handle: 10

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

このコマンドは、cloudhsm_mgmt_util の getKeyInfo を使用してキーのユーザー 10 に関する情報を取得します。出力は、キーの所有者がユーザー 3 であり、キーがユーザー 4 と共有されていることを示しています。また、2 ユーザーのクォーラムが、このキーを使用するすべての暗号化オペレーションを承認する必要があることも示しています。

aws-cloudhsm>getKeyInfo 10

Key Info on server 0(10.0.0.1):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
         2 Users need to approve to use/manage this key
Key Info on server 1(10.0.0.2):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
         2 Users need to approve to use/manage this key

引数

このコマンドには名前付きパラメータがないため、引数は図表で指定された順序で入力する必要があります。

getKeyInfo -k <key-handle> <output file>
<key-handle>

HSM で 1 つのキーのキーハンドルを指定します。所有または共有するキーのキーハンドルを入力します。このパラメータは必須です。

必須: はい

<output file>

出力の書き込み先を stdout ではなく、指定したファイルにします。既存のファイルがある場合は、警告なしに上書きされます。

必須: いいえ

デフォルト: stdout

関連トピック